本刊記者 王 超

AI智能時(shí)代，軟件定義萬(wàn)物，數(shù)字技術(shù)已逐漸成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一。隨著軟件開發(fā)過(guò)程中開源應(yīng)用的日趨普及和大范圍應(yīng)用，開源應(yīng)用事實(shí)上逐漸成為數(shù)字技術(shù)開發(fā)的核心基礎(chǔ)設(shè)施，混源開發(fā)也已成為主流的數(shù)字應(yīng)用開發(fā)交付方式，數(shù)字供應(yīng)鏈的安全問(wèn)題也已被上升到基礎(chǔ)設(shè)施安全和國(guó)家安全的高度來(lái)對(duì)待。

數(shù)字應(yīng)用開源化，導(dǎo)致影響數(shù)字供應(yīng)鏈的各個(gè)環(huán)節(jié)都不可避免受到開源應(yīng)用風(fēng)險(xiǎn)的影響。尤其是開源應(yīng)用的安全性問(wèn)題，將直接影響采用開源應(yīng)用的相應(yīng)數(shù)字供應(yīng)鏈的安全。除了應(yīng)用開發(fā)者因疏忽和不重視導(dǎo)致的開源應(yīng)用安全漏洞、代碼缺陷和軟件許可合規(guī)風(fēng)險(xiǎn)，還可能存在其他安全風(fēng)險(xiǎn)，比如具有非法目的的開發(fā)者故意預(yù)留的開源應(yīng)用安全后門，甚至還有惡意攻擊者偽造的含有隱藏性惡意功能的異常行為代碼被故意上傳到上游開源代碼托管平臺(tái)，實(shí)施定向軟件供應(yīng)鏈投毒攻擊等。上述開源應(yīng)用中存在的眾多安全問(wèn)題，導(dǎo)致數(shù)字供應(yīng)鏈的安全隱患大大增加，安全形勢(shì)更加嚴(yán)峻。加快落地?cái)?shù)字供應(yīng)鏈安全治理工作迫在眉睫。企業(yè)亟須從各個(gè)層面建立數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)的多種能力，整體提升數(shù)字供應(yīng)鏈安全管理的水平。

在近期舉辦的2023數(shù)字供應(yīng)鏈安全大會(huì)（DSS 2023）中，懸鏡安全創(chuàng)始人兼CEO、DSS大會(huì)執(zhí)行主席子芽在業(yè)界首次講述了數(shù)字供應(yīng)鏈的新變化，定義數(shù)字供應(yīng)鏈安全的新內(nèi)涵，同時(shí)重點(diǎn)發(fā)布并解讀中國(guó)首個(gè)數(shù)字供應(yīng)鏈SBOM格式（DSDX）。同時(shí)，他還推出“用開源的方式做開源風(fēng)險(xiǎn)治理”理念，將已經(jīng)商業(yè)化的源鑒SCA開源威脅管控平臺(tái)進(jìn)行開源，打造全球首個(gè)開源數(shù)字供應(yīng)鏈安全社區(qū)——OpenSCA開源社區(qū)，并基于此，從代碼疫苗補(bǔ)丁防御、開源威脅情報(bào)、全鏈路SBOM追蹤以及社區(qū)生態(tài)共建四個(gè)方向，賦能企業(yè)用戶從源頭保障開源數(shù)字供應(yīng)鏈安全。

近日，記者與子芽圍繞數(shù)字供應(yīng)鏈安全的特性、開源技術(shù)生態(tài)、數(shù)字供應(yīng)鏈安全檢測(cè)防御方法和技術(shù)研究等內(nèi)容進(jìn)行了詳細(xì)的溝通和探討。

兩個(gè)共識(shí)、四大躍遷解讀“數(shù)字供應(yīng)鏈安全三大特性”

數(shù)字時(shí)代，萬(wàn)物可編程，數(shù)字技術(shù)是新一代信息技術(shù)的靈魂?！皵?shù)字應(yīng)用正成為社會(huì)運(yùn)轉(zhuǎn)的基本組件”“現(xiàn)代應(yīng)用都是組裝的而非純自研”是數(shù)字應(yīng)用的兩個(gè)安全共識(shí)。子芽認(rèn)為，進(jìn)入數(shù)智時(shí)代，數(shù)字技術(shù)成為新一代信息技術(shù)的靈魂，云服務(wù)、IT托管服務(wù)等顛覆了傳統(tǒng)產(chǎn)品供應(yīng)關(guān)系，正成為數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施。同時(shí)，有數(shù)據(jù)表明當(dāng)前平均每個(gè)數(shù)字應(yīng)用的開源成分都接近78%～90%，混源開發(fā)成為主要模式，開源風(fēng)險(xiǎn)治理的迫切性愈發(fā)重要。

隨著數(shù)字時(shí)代的到來(lái)，我們熟知的軟件供應(yīng)鏈正向數(shù)字供應(yīng)鏈躍遷式演進(jìn)，溯其根源，主要在以下四個(gè)方面發(fā)生著深刻的變化：一是在數(shù)字應(yīng)用編程開發(fā)方式上，正從閉源開發(fā)向內(nèi)源開發(fā)和混源開發(fā)演進(jìn)；二是在應(yīng)用協(xié)作發(fā)布方式上，正從瀑布式開發(fā)向敏捷開發(fā)和DevOps研運(yùn)一體化演進(jìn)；三是在應(yīng)用架構(gòu)設(shè)計(jì)上，正從單體應(yīng)用向微服務(wù)和Serverless架構(gòu)演進(jìn)；四是在基礎(chǔ)設(shè)施運(yùn)行環(huán)境上，正從物理機(jī)向虛擬化和容器化演進(jìn)。

子芽對(duì)數(shù)字供應(yīng)鏈的定義，其意在梳理數(shù)字時(shí)代之下供應(yīng)鏈的全新關(guān)系，以及進(jìn)一步明確網(wǎng)絡(luò)安全發(fā)展演進(jìn)，即從軟件產(chǎn)品或服務(wù)到數(shù)字應(yīng)用，數(shù)字供應(yīng)鏈定義擴(kuò)大了原有軟件供應(yīng)鏈的內(nèi)涵，其將數(shù)字應(yīng)用、基礎(chǔ)設(shè)施服務(wù)、供應(yīng)鏈數(shù)據(jù)統(tǒng)一規(guī)劃到數(shù)字供應(yīng)鏈組成當(dāng)中，這也是業(yè)內(nèi)首次明確數(shù)字供應(yīng)鏈的組成?；诖耍瑪?shù)字應(yīng)用安全、基礎(chǔ)設(shè)施服務(wù)安全、供應(yīng)鏈數(shù)據(jù)安全即成為數(shù)字供應(yīng)鏈安全的重點(diǎn)內(nèi)容。

子芽認(rèn)為數(shù)字供應(yīng)鏈安全的三大關(guān)鍵特性，分別是共生自進(jìn)化、內(nèi)生自免疫、敏捷自適應(yīng)。其中，共生自進(jìn)化對(duì)應(yīng)為業(yè)務(wù)發(fā)展與安全建設(shè)共生，延伸為開源、內(nèi)源和混源共生發(fā)展，研發(fā)、安全和運(yùn)營(yíng)角色在決策上共擔(dān)安全風(fēng)險(xiǎn)；內(nèi)生自免疫對(duì)應(yīng)為防御前置，用安全左移的方法實(shí)現(xiàn)源頭風(fēng)險(xiǎn)治理，并以威脅模擬實(shí)現(xiàn)持續(xù)安全度量；敏捷自適應(yīng)對(duì)應(yīng)為敏捷適應(yīng)業(yè)務(wù)增長(zhǎng)和迭代，使安全和業(yè)務(wù)融合又解耦，并適應(yīng)基礎(chǔ)設(shè)施環(huán)境變化，隨時(shí)靈敏響應(yīng)內(nèi)外部威脅和風(fēng)險(xiǎn)。

一個(gè)基線、三大環(huán)節(jié)揭秘“自有SBOM格式四大特點(diǎn)”

隨著信息技術(shù)的發(fā)展，包括新技術(shù)（數(shù)字技術(shù)）、新發(fā)布（開發(fā)方式）、新架構(gòu)（應(yīng)用構(gòu)架）、新環(huán)境（基礎(chǔ)設(shè)施）的變化，已促進(jìn)供應(yīng)鏈產(chǎn)生躍遷式變化，傳統(tǒng)軟件供應(yīng)鏈的內(nèi)涵需擴(kuò)大為數(shù)字供應(yīng)鏈，需要將數(shù)字應(yīng)用、基礎(chǔ)設(shè)施服務(wù)、供應(yīng)鏈數(shù)據(jù)統(tǒng)一規(guī)劃到供應(yīng)鏈當(dāng)中，這是業(yè)內(nèi)首次明確數(shù)字供應(yīng)鏈的組成?；诖耍瑪?shù)字應(yīng)用安全、基礎(chǔ)設(shè)施服務(wù)安全、供應(yīng)鏈數(shù)據(jù)安全即成為數(shù)字供應(yīng)鏈安全的重點(diǎn)內(nèi)容。

站在數(shù)字供應(yīng)鏈安全全流程治理與運(yùn)營(yíng)的視角，子芽將整個(gè)數(shù)字供應(yīng)鏈安全劃分為“供應(yīng)鏈引入、生產(chǎn)鏈、供應(yīng)鏈交付運(yùn)營(yíng)”三大環(huán)節(jié)。對(duì)應(yīng)由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技術(shù)手段予以支撐。子芽強(qiáng)調(diào)稱，在整個(gè)過(guò)程中敏捷安全將是未來(lái)的主要趨勢(shì)，其中SBOM也是數(shù)字供應(yīng)鏈安全的關(guān)鍵部分。

子芽指出，SBOM即軟件物料清單是建立數(shù)字供應(yīng)鏈的安全基線，將在輔助安全設(shè)計(jì)評(píng)審、交叉安全測(cè)試和動(dòng)態(tài)發(fā)布等環(huán)節(jié)發(fā)揮重要作用。大會(huì)上，子芽發(fā)布了中國(guó)首個(gè)數(shù)字供應(yīng)鏈SBOM格式——DSDX（Digital Supply-chain Data Exchange）。DSDX由OpenSCA社區(qū)主導(dǎo)發(fā)起，匯聚權(quán)威研究機(jī)構(gòu)、甲方客戶、安全廠商力量共同適配中國(guó)企業(yè)實(shí)戰(zhàn)化應(yīng)用場(chǎng)景。

子芽表示，中國(guó)首個(gè)數(shù)字供應(yīng)鏈安全格式（DSDX）將以企業(yè)級(jí)實(shí)戰(zhàn)化應(yīng)用作為實(shí)踐，其目標(biāo)是成為數(shù)字供應(yīng)鏈安全治理與運(yùn)營(yíng)的核心技術(shù)抓手，以助力行業(yè)從軟件供應(yīng)鏈安全過(guò)渡到數(shù)字供應(yīng)鏈安全時(shí)代。國(guó)內(nèi)首個(gè)自有SBOM格式——DSDX v1.0的核心特點(diǎn)包括全場(chǎng)景覆蓋、強(qiáng)大兼容性、供應(yīng)鏈數(shù)據(jù)溯源和強(qiáng)大的自身安全性。其中，全場(chǎng)景覆蓋是指涵蓋源碼、二進(jìn)制、鏡像等不同階段的物料清單，對(duì)組件、漏洞、許可證風(fēng)險(xiǎn)全面覆蓋；強(qiáng)大兼容性是指兼容SPDX、CycloneDX、SWID國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)標(biāo)準(zhǔn)，但不止于主流規(guī)范，在最小元素集基礎(chǔ)上擴(kuò)展其他元素；供應(yīng)鏈數(shù)據(jù)溯源是指涵蓋數(shù)字供應(yīng)鏈流轉(zhuǎn)信息、可追溯文件、組件，依賴的過(guò)程變化及其來(lái)源，保證SBOM的修改全程可追溯；強(qiáng)大的自身安全性是指物料清單本身滿足機(jī)密性要求和完整性要求，具備真實(shí)性校驗(yàn)、防篡改等保護(hù)機(jī)制。

兩個(gè)本質(zhì)、三個(gè)關(guān)鍵能力構(gòu)筑“開源技術(shù)生態(tài)四大突破”

開源將引領(lǐng)未來(lái)包括人工智能創(chuàng)新在內(nèi)的數(shù)字經(jīng)濟(jì)發(fā)展。在國(guó)內(nèi)，特別是在信創(chuàng)領(lǐng)域，絕大多數(shù)的軟件和硬件都是依托于開源的力量來(lái)構(gòu)建未來(lái)發(fā)展的基石。隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。其中，開源軟件的安全問(wèn)題尤其值得關(guān)注。

開源的本質(zhì)是群智創(chuàng)新和共生進(jìn)化，子芽再次強(qiáng)調(diào)了開源的重要性，并著重指出面對(duì)著不確定性的未來(lái)，開源的群智創(chuàng)新模式將是數(shù)字供應(yīng)鏈發(fā)展的力量源泉。軟件成分分析（Software Composition Analysis，SCA）作為數(shù)字供應(yīng)鏈安全管理入口，管控?cái)?shù)字供應(yīng)鏈在引入、生產(chǎn)、分發(fā)、交付環(huán)節(jié)全流程數(shù)字資產(chǎn)的安全風(fēng)險(xiǎn)；同時(shí)結(jié)合供應(yīng)鏈安全情報(bào)，進(jìn)行數(shù)字供應(yīng)鏈組件資產(chǎn)的持續(xù)性風(fēng)險(xiǎn)評(píng)估和緊急漏洞事件的快速響應(yīng)；再根據(jù)清單進(jìn)行物料成分一致性確認(rèn)和開源風(fēng)險(xiǎn)治理，幫助建立DevSecOps敏捷安全體系和SDL安全開發(fā)體系；同時(shí)輸出透明化的數(shù)字應(yīng)用組件資產(chǎn)及風(fēng)險(xiǎn)清單，針對(duì)性建立安全可信的SBOM庫(kù)。

SCA技術(shù)作為數(shù)字供應(yīng)鏈開源治理的關(guān)鍵入口，有著全新的內(nèi)涵：一是源碼級(jí)SCA特別是代碼片段級(jí)同源檢測(cè)技術(shù)在代碼自研率分析、全球開源風(fēng)險(xiǎn)溯源等場(chǎng)景有越來(lái)越多的應(yīng)用；二是二進(jìn)制SCA憑借直接分析制品成分及風(fēng)險(xiǎn)，正成為供應(yīng)鏈安全審查的關(guān)鍵技術(shù)；三是運(yùn)行時(shí)SCA憑借精準(zhǔn)識(shí)別數(shù)字應(yīng)用運(yùn)行加載時(shí)真正使用到的第三方組件及依賴，在應(yīng)用測(cè)試和常態(tài)化安全運(yùn)營(yíng)場(chǎng)景有著更廣泛的應(yīng)用；四是以DSDX為代表的SBOM作為數(shù)字供應(yīng)鏈安全治理的重要抓手，將在整個(gè)供應(yīng)鏈引入、生產(chǎn)、交付等關(guān)鍵環(huán)節(jié)的開源治理實(shí)踐中發(fā)揮著重要作用；五是供應(yīng)鏈安全情報(bào)特別是開源治理情報(bào)和供應(yīng)鏈投毒情報(bào)的應(yīng)用將極大程度提升開源治理的先發(fā)性和實(shí)效性，許可證合規(guī)治理在業(yè)務(wù)出海和國(guó)內(nèi)監(jiān)管合規(guī)治理上開始受到行業(yè)越來(lái)越高的重視。

子芽強(qiáng)調(diào)，源碼SCA、二進(jìn)制SCA、運(yùn)行時(shí)SCA被視為SCA的三大關(guān)鍵技術(shù)能力，懸鏡安全的OpenSCA技術(shù)正因?yàn)榫邆湟陨先箨P(guān)鍵能力，才能更好地為數(shù)字供應(yīng)鏈提供安全保障。

另外，子芽還全面分享了OpenSCA社區(qū)歷年的發(fā)展和成長(zhǎng)，包括社區(qū)的重要?jiǎng)幼?、開源項(xiàng)目的技術(shù)沉淀和獲得的一系列榮譽(yù)等。同時(shí)他還分享了OpenSCA的技術(shù)生態(tài)，包括可分別獨(dú)立使用的OpenSCA-cli、OpenSCA SaaS、源鑒SCA企業(yè)版以及共享的關(guān)鍵技術(shù)引擎，也進(jìn)一步地介紹了豐富的插件生態(tài)，以及新近開放的多數(shù)據(jù)源比對(duì)能力和多格式漏洞庫(kù)支持能力等關(guān)鍵特性。據(jù)子芽表述，OpenSCA已具有鮮明的自身特色和能力，在行業(yè)內(nèi)處于領(lǐng)先地位。此外，子芽又介紹了基于OpenSCA開源社區(qū)和開源項(xiàng)目目前正在進(jìn)行的工作，其中代碼疫苗補(bǔ)丁防御、開源威脅情報(bào)、全鏈路SBOM追蹤以及持續(xù)的社區(qū)生態(tài)共建是四個(gè)主要方向，進(jìn)而用開源的力量，從源頭護(hù)航數(shù)字供應(yīng)鏈安全。

總體來(lái)說(shuō)，數(shù)字供應(yīng)鏈安全管理是一個(gè)系統(tǒng)工程，亟須從國(guó)家、行業(yè)、機(jī)構(gòu)、企業(yè)各個(gè)層面建立整個(gè)數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力，整體提升數(shù)字供應(yīng)鏈安全管理的水平。為此，需要開展全方位的數(shù)字供應(yīng)鏈安全檢測(cè)防御方法和技術(shù)研究。

第一，開展代碼疫苗技術(shù)在數(shù)字供應(yīng)鏈積極防御體系中的應(yīng)用研究，實(shí)現(xiàn)相關(guān)重大技術(shù)在0DAY漏洞防御、API挖掘分析、代碼疫苗熱補(bǔ)丁等難點(diǎn)技術(shù)上的突破，解決下一代數(shù)字免疫體系在出廠自免疫、敏捷自適應(yīng)、共生自進(jìn)化等關(guān)鍵特性上的技術(shù)瓶頸。

第二，開展軟件成分動(dòng)態(tài)分析及開源應(yīng)用缺陷智能檢測(cè)技術(shù)研究，突破高效高準(zhǔn)確性的開源應(yīng)用安全缺陷動(dòng)態(tài)檢測(cè)技術(shù)的瓶頸，解決基于全代碼遍歷和代碼片段級(jí)克隆技術(shù)比對(duì)的應(yīng)用安全檢測(cè)難題，進(jìn)一步實(shí)現(xiàn)對(duì)全球開源應(yīng)用的全面安全檢測(cè)，從源頭堵住數(shù)字供應(yīng)鏈安全隱患的發(fā)生。

第三，建立全球開源應(yīng)用的傳播態(tài)勢(shì)感知和預(yù)警機(jī)制，攻克數(shù)字供應(yīng)鏈中軟件來(lái)源多態(tài)追蹤技術(shù)，實(shí)現(xiàn)對(duì)供應(yīng)鏈各環(huán)節(jié)中軟件成分來(lái)源的溯源機(jī)制。通過(guò)軟件成分來(lái)源多態(tài)追蹤技術(shù)監(jiān)控開源應(yīng)用的使用傳播和分布部署態(tài)勢(shì)，全面把握有缺陷的開源應(yīng)用傳播和使用渠道，實(shí)現(xiàn)對(duì)全球開源應(yīng)用及其安全缺陷的預(yù)測(cè)預(yù)警。

第四，建立國(guó)家級(jí)、行業(yè)級(jí)軟件供應(yīng)鏈安全監(jiān)測(cè)與管控平臺(tái)，具備系統(tǒng)化、規(guī)模化的軟件源代碼缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風(fēng)險(xiǎn)分析等關(guān)鍵能力，為關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)用戶提供日常的自查服務(wù)，及時(shí)發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

第五，嚴(yán)格管控?cái)?shù)字供應(yīng)鏈上游，尤其是重點(diǎn)管控開源應(yīng)用的使用，積極推動(dòng)代碼疫苗、SBOM和智能威脅建模等新技術(shù)和標(biāo)準(zhǔn)在數(shù)字供應(yīng)鏈安全領(lǐng)域的推廣和應(yīng)用，從根本上提供數(shù)字供應(yīng)鏈安全的可靠保障。

作為國(guó)內(nèi)數(shù)字供應(yīng)鏈安全和DevSecOps敏捷安全的技術(shù)引領(lǐng)者和產(chǎn)業(yè)實(shí)踐主要推動(dòng)力量，我和懸鏡安全團(tuán)隊(duì)致力于結(jié)合自身多年來(lái)在前沿技術(shù)創(chuàng)新研究和行業(yè)應(yīng)用實(shí)踐方面的沉淀，對(duì)數(shù)字供應(yīng)鏈安全治理與運(yùn)營(yíng)進(jìn)行系統(tǒng)性梳理，并分享我們這些年在不同典型用戶場(chǎng)景探索的落地實(shí)踐經(jīng)驗(yàn)。因此，無(wú)論是沉淀我們創(chuàng)新技術(shù)研究與全球敏捷安全應(yīng)用實(shí)踐經(jīng)驗(yàn)的《DevSecOps敏捷安全》書籍的應(yīng)運(yùn)而生，還是承載我們推動(dòng)生態(tài)交流分享與引領(lǐng)產(chǎn)業(yè)創(chuàng)新發(fā)展意愿的“DSS數(shù)字供應(yīng)鏈安全大會(huì)”以及“DSO敏捷安全大會(huì)”的持續(xù)舉辦，其根本目的在于為產(chǎn)業(yè)搭建一個(gè)匯集“國(guó)家、行業(yè)、機(jī)構(gòu)、企業(yè)及教育”等綜合力量且“同向、同心”的數(shù)字供應(yīng)鏈安全保障生態(tài)體系。

科學(xué)無(wú)國(guó)界，但科學(xué)家有祖國(guó)，中國(guó)數(shù)字供應(yīng)鏈的安全治理與運(yùn)營(yíng)不僅需要全球技術(shù)創(chuàng)新力量的共同實(shí)踐探索，更需要中國(guó)產(chǎn)業(yè)生態(tài)攜手共建。以開源為代表的技術(shù)文化，已經(jīng)在開發(fā)者社區(qū)群體中生根發(fā)芽，緊緊將數(shù)字供應(yīng)鏈新技術(shù)、新業(yè)態(tài)、新模式關(guān)聯(lián)在一起。懸鏡安全將持續(xù)以更包容的心態(tài)，更開放的視野，積極擁抱數(shù)字供應(yīng)鏈生態(tài)用戶及伙伴，知行合一守護(hù)中國(guó)數(shù)字供應(yīng)鏈安全。